Управление унифицированными идентификаторами подписки в системах связи

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Данная область техники относится в целом к системам связи и, в частности, но не исключительно, к управлению идентификаторами подписки пользователя в таких системах.

УРОВЕНЬ ТЕХНИКИ

В этом разделе представлены аспекты, которые могут содействовать более глубокому пониманию этих изобретений. Соответственно, утверждения, приведенные в этом разделе, следует рассматривать в этом свете, и их не следует понимать как выкладки того, что есть и чего нет в предшествующем уровне техники.

Технология беспроводной мобильной связи четвертого поколения (4G), также известная как технология по стандарту «Долгосрочное развитие» (LTE; Long Term Evolution), была разработана для обеспечения мобильной мультимедийной связи высокой пропускной способности с высокой скоростью передачи данных, в частности для взаимодействия с человеком. Технология следующего или пятого поколения (5G) предназначена для использования не только для взаимодействия с человеком, но и для связи машинного типа в так называемых сетях Интернета вещей (IoT; Internet of Things).

Хотя сети 5G предназначены для предоставления услуг массовой связи IoT (например, очень большого количества устройств с ограниченной пропускной способностью) и критически важных услуг IoT (например, требующих высокой надежности), улучшения по сравнению с существующими услугами мобильной связи поддерживаются в виде услуг улучшенного мобильного широкополосного доступа (eMBB; enhanced mobile broadband), предоставляющих мобильным устройствам улучшенный беспроводной доступ к Интернету.

В представленной в качестве примера системе связи оборудование пользователя (UE (user equipment) 5G в сети 5G или, в более широком смысле, UE), такое как терминал мобильной связи (абонент), обменивается данными через радиоинтерфейс с базовой станцией или точкой доступа, называемой gNB в сети 5G. В качестве иллюстрации точка доступа (например, gNB) является частью сети доступа системы связи. Например, в сети 5G сеть доступа называется системой 5G и описана в Техническом стандарте (TS; Technical Specification) 3GPP 23.501, V15.0.0, озаглавленном «Technical Specification Group Services and System Aspects; System Architecture for the 5G System», описание которого полностью включено в настоящий документ посредством ссылки. Как правило, точка доступа (например, gNB) предоставляет доступ UE к опорной сети (CN; core network), которая затем предоставляет доступ UE к другим UE и/или сети передачи данных, такой как сеть пакетной передачи данных (например, Интернет). Кроме того, процедуры доступа сети 5G описаны в Техническом стандарте (TS) 3GPP 23.502, V15.1.0, озаглавленном «Technical Specification Group Services and System Aspects; Procedures for the 5G System», описание которого полностью включено в настоящий документ посредством ссылки. Кроме того, в Техническом стандарте (TS) 3GPP 33.501, V0.7.0, озаглавленном «Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System», описание которого полностью включено в настоящий документ посредством ссылки, содержится дополнительное подробное описание управления безопасностью в связи с сетью 5G.

В сетях 5G UE, совместимое с 5G, может содержать скрытый идентификатор подписки (SUCI; Concealed Subscription Identifier), описанный в TS 3GPP 33.501, во время процедуры запроса регистрации, описанной в TS 3GPP 23.502. SUCI представляет собой скрытую (зашифрованную) форму постоянного идентификатора абонента (SUPI; Subscriber Permanent Identifier). В существующих сетях 4G (LTE) используемый идентификатор подписки представляет собой международный идентификатор терминала мобильной связи (IMSI; International Mobile Station Identifier), определенный в Техническом стандарте (TS) 23.003, V15.3.0, озаглавленном «Technical Specification Group Core Network and Terminals; Numbering, Addressing and Identification)), описание которого полностью включено в настоящий документ посредством ссылки. Управление такими идентификаторами подписки может быть связано с серьезными проблемами.

3GPP; Технический стандарт «Specification Group Core Network and Terminals; Non-Access-Stratum (NAS) protocol for 5G Systems (5GS); Stage 3 (Release 15)» описывает способ запроса и получения оборудованием пользователя конкретного типа идентификатора мобильного объекта среди существующих типов идентификаторов.

В WO 2014/053197 А1 описан способ управления политиками и дополнительно описаны усовершенствованные устройства, позволяющие поддерживать профили сообществ пользователей, которые применяются к совокупности абонентов. Кроме того, описаны создание и обеспечение выполнения политики сообщества и правил учета стоимости, полученных из профилей сообществ пользователей и предпочтительно установленных при установлении сеанса для первого пользователя. Сеансы, которые должны быть установлены для последующих пользователей из совокупности пользователей, могут осуществляться с помощью указанной политики сообщества, и правила учета стоимости могут быть активированы без необходимости их применения в индивидуальном порядке.

3GPP; 23.501: коррекция терминологии касательно SUPI; 3GPP описывает «Постоянный идентификатор абонента», так что уникальный на глобальном уровне постоянный идентификатор абонента (SUPI) 5G может быть назначен каждому абоненту в системе 5G.

3GPP; «SA WG3; LS on Security aspects of ECIES for concealing IMSI or SUPI» описывает следующее поколение мобильных сетей (называемое 5G). Описан новый общий термин, называемый SUPI (постоянный идентификатор подписки), который предлагается использовать для обозначения уникального на глобальном уровне постоянного идентификатора подписки 5G. В D4 также предлагается скрыть IMSI или SUPI при передаче по беспроводной сети в 5G с помощью ECIES (интегрированной схемы шифрования с эллиптической кривой).

РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

Иллюстративные варианты осуществления предоставляют улучшенные методы управления идентификаторами подписки в системах связи.

Например, в одном иллюстративном варианте осуществления способ включает в себя следующий этап. На данном оборудовании пользователя в системе беспроводной связи строится структура данных унифицированного идентификатора подписки. Указанная структура данных унифицированного идентификатора подписки сохраняется. Указанная структура данных унифицированного идентификатора подписки содержит совокупность полей, которые указывают выбранное одно из двух или более полей идентификатора подписки, связанных с выбранным типом идентификатора подписки. Указанное выбранное одно из двух или более полей идентификатора подписки в указанной структуре данных унифицированного идентификатора подписки используется для доступа к одной или более сетям, связанным с указанной системой беспроводной связи, на основании сценария аутентификации, соответствующего указанному выбранному типу идентификатора подписки.

Дополнительные иллюстративные варианты осуществления предоставлены в виде энергонезависимого машиночитаемого носителя данных, в котором реализован исполняемый программный код, который при исполнении процессором заставляет процессор выполнять вышеприведенные этапы. Еще другие иллюстративные варианты осуществления включают устройство с процессором и запоминающим устройством, выполненным с возможностью осуществления вышеприведенных этапов.

Преимущественно во время выполнения различных сценариев аутентификации в данном оборудовании пользователя используется структура данных унифицированного идентификатора подписки для предоставления соответствующего идентификатора подписки (например, SUPI, SUCI или IMSI) и связанных параметров для данного сценария аутентификации.

Эти и другие признаки и преимущества описанных в настоящем документе вариантов осуществления станут более очевидными из сопроводительных графических материалов и следующего подробного описания.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

На фиг. 1 изображена система связи, с помощью которой могут быть реализованы один или более иллюстративных вариантов осуществления.

На фиг. 2 изображено оборудование пользователя и элемент/функция сети для обеспечения управления идентификатором абонента во время выполнения процедур аутентификации, с помощью которых могут быть реализованы один или более иллюстративных вариантов осуществления.

На фиг. 3А изображен формат IMSI, в котором могут быть реализованы один или более иллюстративных вариантов осуществления.

На фиг. 3В изображен формат SUPI, в котором могут быть реализованы один или более иллюстративных вариантов осуществления.

На фиг. 3С изображен формат SUCI, в котором могут быть реализованы один или более иллюстративных вариантов осуществления.

На фиг. 4 изображен формат унифицированного идентификатора подписки в соответствии с иллюстративным вариантом осуществления.

На фиг. 5 изображены представленные в качестве примера длины полей формата унифицированного идентификатора подписки в соответствии с иллюстративным вариантом осуществления.

На фиг. 6 изображен формат унифицированного идентификатора подписки в соответствии с другим иллюстративным вариантом осуществления.

На фиг. 7 изображена методология работы оборудования пользователя для использования формата унифицированного идентификатора подписки в соответствии с иллюстративным вариантом осуществления.

На фиг. 8 изображена методология работы сетевого объекта для использования формата унифицированного идентификатора подписки в соответствии с иллюстративным вариантом осуществления.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

Варианты осуществления будут проиллюстрированы в настоящем документе вместе с представленными в качестве примера системами связи и соответствующими методами обеспечения управления идентификатором подписки во время аутентификации и выполнения других процедур в системах связи. Однако следует понимать, что объем формулы изобретения не ограничивается описанными конкретными типами систем связи и/или процессами. Варианты осуществления могут быть реализованы во множестве других типов систем связи с использованием альтернативных процессов и операций. Например, хотя описанные варианты осуществления проиллюстрированы в контексте беспроводных систем сотовой связи, в которых используются элементы системы 3GPP, такие как система следующего поколения (5G) 3GPP, описанные варианты осуществления могут быть простым способом приспособлены к множеству других типов систем связи.

В соответствии с иллюстративными вариантами осуществления, реализованными в среде системы связи 5G, один или более технических стандартов (TS) 3GPP и технических отчетов (TR; technical report) могут предоставлять дополнительное объяснение элементов/функций и/или операций сети, которые могут взаимодействовать с частями изобретательских решений, например вышеупомянутых TS 3GPP 23.003 23.501, 23.502 и 33.501. В других документах TS/TR 3GPP может быть предоставлена другая подробная типичная информация, понятная среднему специалисту в данной области техники. Однако, будучи хорошо подходящими для стандартов 3GPP, связанных с 5G, варианты осуществления не обязательно предназначены для ограничения какими-либо конкретными стандартами.

Иллюстративные варианты осуществления относятся к управлению идентификатором подписки, связанным с сетями 5G. Перед описанием таких иллюстративных вариантов осуществления общее описание основных компонентов сети 5G будет предоставлено ниже в контексте фиг. 1 и 2.

На фиг. 1 показана система 100 связи, в которой реализованы иллюстративные варианты осуществления. Следует понимать, что элементы, показанные в системе 100 связи, предназначены для представления основных функций, предусмотренных в системе, например функций доступа UE, функций управления мобильностью, функций аутентификации, функций обслуживающего шлюза и т.д. Таким образом, блоки, показанные на фиг. 1, относятся к конкретным элементам в сетях 5G, которые обеспечивают эти основные функции. Однако другие элементы сети могут использоваться для реализации некоторых или всех представленных основных функций. Также следует понимать, что не все функции сети 5G изображены на фиг. 1. Скорее представлены функции, которые облегчают объяснение иллюстративных вариантов осуществления. На последующих фигурах могут быть изображены некоторые дополнительные элементы/функции.

Соответственно, как показано, система 100 связи содержит оборудование пользователя (UE) 102, которое связывается через радио интерфейс 103 с точкой доступа (gNB) 104. UE 102 может представлять собой терминал мобильной связи, и такой терминал мобильной связи может содержать, например, мобильный телефон, компьютер или любой другой тип устройства связи. Следовательно, термин «оборудование пользователя», используемый в настоящем документе, предназначен для толкования в широком смысле, чтобы охватывать множество различных типов терминалов мобильной связи, абонентских терминалов или, в более общем смысле, устройств связи, включая такие примеры, как комбинация карты данных, вставленной в ноутбук или другое оборудование, такое как смартфон. Такие устройства связи также предназначены для включения устройств, обычно называемых терминалами доступа.

В одном варианте осуществления UE 102 состоит из части универсальной карты с интегральной схемой (UICC; Universal Integrated Circuit Card) и части оборудования мобильной связи (ME; Mobile Equipment). UICC представляет собой автономную часть UE и содержит по меньшей мере один универсальный модуль идентификации абонента (USIM; Universal Subscriber Identity Module) и соответствующее прикладное программное обеспечение. USIM надежно сохраняет постоянный идентификатор подписки и связанный с ним ключ, которые используются для идентификации и аутентификации абонентов для доступа к сетям. ME представляет собой автономную часть UE и содержит функции оконечного оборудования (ТЕ; terminal equipment) и различные функции абонентского оборудования мобильной связи (МТ; mobile termination).

В качестве иллюстрации точка 104 доступа представляет собой часть сети доступа системы 100 связи. Такая сеть доступа может содержать, например, систему 5G, содержащую совокупность базовых станций и одну или более связанных функций управления сетью радиосвязи. Базовые станции и функции управления сетью радиосвязи могут быть логически отдельными объектами, но в данном варианте осуществления могут быть реализованы в одном и том же физическом сетевом элементе, таком как, например, маршрутизатор базовой станции или фемтосотовая точка доступа.

Точка 104 доступа в этом иллюстративном варианте осуществления функционально связана с функциями 106 управления мобильностью. В сети 5G функция управления мобильностью реализуется с помощью функции управления доступом и мобильностью (AMF; Access and Mobility Management Function). Функция привязки безопасности (SEAF; Security Anchor Function) также может быть реализована с помощью AMF, чтобы дать возможность UE безопасно подключаться к функции управления мобильностью. Функция управления мобильностью, используемая в настоящем документе, представляет собой элемент или функцию (т.е. объект) в части опорной сети (CN) системы связи, которая управляет или иным образом занимается (помимо других операций сети) доступом и мобильностью (включая аутентификацию/авторизацию) операций с UE (через точку 104 доступа). AMF также может упоминаться в настоящем документе, в более общем смысле, как объект управления доступом и мобильностью.

AMF 106 в этом иллюстративном варианте осуществления функционально связана с функциями 108 абонента базовой станции, то есть с одной или более функциями, которые постоянно находятся в опорной сети абонента. Как показано, некоторые из этих функций включают в себя функцию унифицированного управления данными (UDM; Unified Data Management), а также функцию сервера аутентификации (AUSF; Authentication Server Function). AUSF и UDM (отдельно или совместно с опорным абонентским сервером 4G или HSS (Home Subscriber Server)) также могут упоминаться в настоящем документе, в более общем смысле, как объект аутентификации. Кроме того, функции абонента базовой станции могут включать в себя, но не ограничиваются этим, функцию выбора сегмента сети (NSSF; Network Slice Selection Function), функцию воздействия сети (NEF; Network Exposure Function), функцию сетевого хранилища (NRF; Network Repository Function), функцию контроля политик (PCF; Policy Control Function) и функцию приложения (AF; Application Function).

Точка 104 доступа также функционально связана с функцией обслуживающего шлюза, то есть с функцией управления сеансом (SMF; Session Management Function) 110, которая функционально связана с функцией плоскости пользователя (UPF; User Plane Function) 112. UPF 112 функционально связана с сетью пакетной передачи данных, например Интернетом 114. Другие типичные операции и функции таких элементов сети не описаны в настоящем документе, поскольку на них не сосредоточены иллюстративные варианты осуществления, и они могут находиться в соответствующей документации 3GPP 5G.

Следует понимать, что эта конкретная компоновка элементов системы является только примером, и для реализации системы связи в других вариантах осуществления могут использоваться другие типы и компоновки дополнительных или альтернативных элементов. Например, в других вариантах осуществления система 100 может содержать другие элементы/функции, явно не показанные в настоящем документе.

Соответственно, компоновка в соответствии с фиг. 1 представляет собой лишь одну представленную в качестве примера конфигурацию беспроводной системы сотовой связи, и могут использоваться многочисленные альтернативные конфигурации элементов системы. Например, хотя в варианте осуществления в соответствии с фиг. 1 показаны лишь отдельные элементы/функции, это сделано только для простоты и понятности описания. Данный альтернативный вариант осуществления, конечно, может включать в себя большее количество таких элементов системы, а также дополнительные или альтернативные элементы типа, обычно связанного с традиционными вариантами реализации системы.

Также следует отметить, что хотя на фиг. 1 элементы системы изображены как отдельные функциональные блоки, различные подсети, составляющие сеть 5G, разделены на так называемые сегменты сети. Сегменты сети (разделы сети) содержат серию наборов функций сети (NF; network function) (т.е. функциональных цепочек) для каждого соответствующего типа услуг с использованием виртуализации функций сети (NFV; network function virtualization) в общей физической инфраструктуре. Экземпляры сегментов сети создаются по мере необходимости для данной услуги, например, услуги еМВВ, услуги массовой связи IoT и критически важной услуги IoT. Таким образом, создается экземпляр сегмента или функции сети при создании экземпляра этого сегмента или функции сети. В некоторых вариантах осуществления это включает в себя установку или иное выполнение сегмента или функции сети на одном или более хост-устройствах базовой физической инфраструктуры. UE 102 выполнено с возможностью доступа к одной или более из этих услуг через gNB 104.

На фиг. 2 представлена блок-схема части системы 200 связи, содержащей оборудование 202 пользователя и элемент/функцию 204 сети для обеспечения управления идентификаторами подписки как части процедуры аутентификации в иллюстративном варианте осуществления. В одном варианте осуществления элемент/функция 204 сети может представлять собой UDM (как описано выше). Однако следует понимать, что элемент/функция 204 сети может представлять собой любой элемент/функцию сети, который конфигурируется для обеспечения управления идентификатором подписки и других описанных в настоящем документе методов аутентификации.

Оборудование 202 пользователя содержит процессор 212, связанный с запоминающим устройством 216 и схемой 210 интерфейса. Процессор 212 оборудования 202 пользователя содержит модуль 214 обработки аутентификации, который может быть реализован, по меньшей мере частично, в виде программного обеспечения, выполняемого процессором. Модуль 214 обработки выполняет управление идентификатором подписки и другие связанные методы, описанные в связи с последующими фигурами и иным образом в настоящем документе. Запоминающее устройство 216 оборудования 202 пользователя содержит модуль 218 хранения данных об управлении идентификатором подписки, который хранит данные, сгенерированные или иным образом используемые во время управления идентификатором подписки и других операций.

Элемент/функция 204 сети содержит процессор 222, связанный с запоминающим устройством 226 и схемой 220 интерфейса. Процессор 222 элемента/функции 204 сети содержит модуль 224 обработки аутентификации, который может быть реализован, по меньшей мере частично, в виде программного обеспечения, выполняемого процессором 222. Модуль 224 обработки выполняет методы аутентификации с помощью идентификатора подписки, предусмотренного в UE 202, и другие методы, описанные в связи с последующими фигурами и иным образом в настоящем документе. Запоминающее устройство 226 элемента/функции 204 сети содержит модуль 228 хранения данных об обработке аутентификации, который хранит данные, сгенерированные или иным образом используемые во время аутентификации и других операций.

Процессоры 212 и 222 соответствующего оборудования 202 пользователя и элемента/функции 204 сети могут содержать, например, микропроцессоры, специализированные интегральные схемы (ASIC; application-specific integrated circuit), программируемые на месте вентильные матрицы (FPGA; field programmable gate array), процессоры обработки цифровых сигналов (DSP; digital signal processor) или другие типы устройств обработки или интегральных схем, а также части или комбинации таких элементов. Такие устройства на интегральных схемах, а также их части или комбинации являются примерами «схемы» в контексте использования этого термина в настоящем документе. Широкое разнообразие других компоновок аппаратных средств и соответствующего программного обеспечения или программно-аппаратного обеспечения может использоваться при реализации указанных иллюстративных вариантов осуществления.

Запоминающие устройства 216 и 226 соответствующего оборудования 202 пользователя и элемента/функции 204 сети могут использоваться для хранения одной или более программ, которые выполняются соответствующими процессорами 212 и 222 для реализации по меньшей мере части описанных в настоящем документе функциональных возможностей. Например, операции управления идентификатором подписки и другие функциональные возможности аутентификации, описанные в связи с последующими фигурами и иным образом в настоящем документе, могут быть реализованы простым способом с использованием программного кода, выполняемого процессорами 212 и 222.

Таким образом, данное одно из запоминающих устройств 216 или 226 может рассматриваться в качестве примера того, что в более широком смысле упоминается в настоящем документе как компьютерный программный продукт или в еще более широком смысле как считываемый процессором носитель данных, который содержит выполняемый программный код, реализованный в нем. Другие примеры считываемых процессором носителей данных могут включать в себя диски или другие типы магнитных или оптических носителей в любой комбинации. Иллюстративные варианты осуществления могут включать в себя изделия промышленного производства, содержащие такие компьютерные программные продукты или другие считываемые процессором носители данных.

Запоминающее устройство 216 или 226, в частности, может включать в себя, например, электронное оперативное запоминающее устройство (RAM; random access memory), такое как статическое RAM (SRAM; static RAM), динамическое RAM (DRAM; dynamic RAM) или другие типы энергозависимого или энергонезависимого электронного запоминающего устройства. Последнее может включать в себя, например, энергонезависимые запоминающие устройства, такие как флэш-память, магниторезистивное RAM (MRAM; magnetic RAM), RAM с фазовым кодированием (PC-RAM; phase-change RAM) или ферроэлектрическое RAM (FRAM; ferroelectric RAM). Термин «запоминающее устройство», используемое в настоящем документе, предназначен для широкого толкования и может дополнительно или альтернативно охватывать, например, постоянное запоминающее устройство (ROM; read-only memory), дисковое запоминающее устройство или другой тип запоминающего устройства, а также части или комбинации таких устройств.

В качестве иллюстрации схемы 210 и 220 интерфейса соответствующего оборудования 202 пользователя и элемента/функции 204 сети содержат приемопередатчики или другие аппаратные средства или программно-аппаратные средства связи, которые позволяют связанным элементам системы связываться друг с другом описанным в настоящем документе способом.

На фиг. 2 видно, что оборудование 202 пользователя конфигурировано для связи с элементом/функцией 204 сети и наоборот через соответствующие схемы 210 и 220 интерфейса. В случае, когда элемент/функция 204 системы представляет собой UDM, оборудование пользователя и UDM функционально подключены и связаны через gNB 104 и AMF 106 (как показано на фиг. 1). Эта связь включает в себя оправку данных оборудованием 202 пользователя элементу/функции 204 сети и отправку данных элементом/функцией 204 сети оборудованию 202 пользователя. Однако в альтернативных вариантах осуществления больше или меньше элементов сети (в качестве дополнения или альтернативы gNB и AMF) могут быть функционально подключены между элементами/функциями 202 и 204 сети. Термин «данные», используемый в настоящем документе, предназначен для широкого толкования, чтобы охватывать любой тип информации, которая может отправляться между оборудованием пользователя и одним или более элементами/функциями сети, включая, но не ограничиваясь этим, сообщения, идентификаторы, ключи, индикаторы, пользовательские данные, данные управления и т.д.

Следует понимать, что конкретная компоновка компонентов, показанная на фиг. 2, является только примером, и в других вариантах осуществления могут использоваться многочисленные альтернативные конфигурации. Например, любой данный элемент/функция может быть выполнен(-а) с возможностью включения дополнительных или альтернативных компонентов и поддержки других протоколов связи.

Другие элементы системы (например, но не ограничиваясь ими, другие элементы, показанные на фиг. 1), также могут быть выполнены с возможностью включения компонентов, таких как процессор, запоминающее устройство и сетевой интерфейс. Эти элементы не обязательно должны быть реализованы на отдельных автономных процессорных платформах, вместо этого они могут, например, представлять различные функциональные части одной общей процессорной платформы.

С учетом общих концепций, описанных выше, далее будут описаны иллюстративные варианты осуществления, которые решают проблемы управления идентификатором подписки.

Как упоминалось выше, в существующей системе связи 4G (LTE) постоянный идентификатор подписки обычно представляет собой международный идентификатор терминала мобильной связи или IMSI UE. Как определено в вышеупомянутом TS 3GPP 23.003, IMSI состоит из кода страны при мобильной связи (MCC; Mobile Country Code), кода сети мобильной связи (MNC; Mobile Network Code) и идентификационного номера терминала мобильной связи (MSIN; Mobile Station Identification Number). Как правило, если нужно защитить идентификатор подписки, необходимо зашифровать только часть MSIN IMSI. Части MNC и МСС предоставляют информацию о маршрутизации, используемую обслуживающей сетью для маршрутизации в правильную опорную сеть. В системе связи 5G постоянный идентификатор подписки называется постоянным идентификатором абонента или SUPI (Subscriber Permanent Identifier). Как и в случае с IMSI, SUPI может использовать MSIN для уникальной идентификации абонента. Когда MSIN SUPI зашифрован, он называется скрытым идентификатором подписки или SUCI (Subscription Concealed Identifier).

Однако в данном случае следует понимать, что в различных сценариях работы UE может потребоваться представить идентификатор подписки, такой как SUCI, SUPI или IMSI. Для решения этих и других проблем управления идентификатором подписки в иллюстративных вариантах осуществления предлагается унифицированная структура представления решения для идентификатора подписки.

В частности, иллюстративные варианты осуществления решают проблему использования соответствующего представления идентификатора подписки, то есть SUPI или его зашифрованной формы, SUCI или даже IMSI, в сообщении запроса регистрации, отправляемом UE в сеть, и процедуры аутентификации UE в сети 5G (следует обратить внимание, что одна и та же или подобная унифицированная структура данных может передаваться между объектами сети). Например, UE при выполнении процедуры соглашения об аутентификации и ключах 5G (АKА; Authentication and Key Agreement) (см., например, вышеупомянутый TS 3GPP 33.501) может потребоваться представить идентификатор подписки в трех разных форматах SUCI, SUPI или IMSI. Если в процедуре аутентификации используется процедура АКА расширяемого протокола аутентификации (ЕАР; Extensible Authentication Protocol) (см., например, вышеупомянутый TS 3GPP 33.501), то в представлении используется формат идентификатора доступа к сети (NAI; Network Access Identifier), то есть «joe@example.com», определенный в Запросе комментария (RFC; Request for Comment) 7542 Рабочей группы инженеров Интернета (IETF; Internet Engineering Task Force) «Идентификатор доступа к сети» (The Network Access Identifier), май 2015 г., описание которого полностью включено в настоящий документ посредством ссылки.

Проблема различных форматов идентификаторов подписки не решается ни в вышеупомянутом TS 33.501, ни в каких-либо других стандартах этапа 3. В Техническом стандарте (TS) 3GPP 33.401, VI5.3.0, озаглавленном «Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); System architecture)), описание которого полностью включено в настоящий документ посредством ссылки, определяется только использование IMSI.

На фиг. 3А изображен формат 300 IMSI, в котором могут быть реализованы один или более иллюстративных вариантов осуществления. Как показано, формат 300 включает фиксированную 15-значную длину и состоит из 3-значного кода страны при мобильной связи (МСС), 3-значного кода сети мобильной связи (MNC) и 9-значного идентификационного номера терминала мобильной связи (MSIN). В некоторых случаях MNC может состоять из 2 знаков, a MSIN - из 10 знаков. Дополнительные подробности об IMSI определены в вышеупомянутом TS 3GPP 23.003.

Как объяснено выше, если в процедуре аутентификации используется процедура ЕАР-АКА или процедура безопасности транспортного уровня (TLS; Transport Layer Security) ЕАР (каждая из которых определена в вышеупомянутом TS 3GPP 33.501), то представление идентификатора подписки использует формат NAI. RFC 7542 определяет, что для 3GPP часть «имя пользователя» является уникальным идентификатором, который выводится из специфической для устройства информации, а часть «область» состоит из информации об опорной сети, за которой следует базовая строка Ошибка! Недопустимый объект гиперссылки. Например, идентификатор подписки в формате NAI может быть представлен следующим образом:

234150999999999@ims.mnc015.mcc234.3gppnetwork.org

Следовательно, для процедуры ЕАР-АКА UE будет шифровать свой идентификатор подписки SUPI или SUCI в формате NAI, как указано в RFC 7542, например MSIN@ mnc.mcc.3gppnetwork.org.

На фиг. 3В и 3С соответственно изображены формат 310 SUPI и формат 320 SUCI, в которых могут быть реализованы один или более иллюстративных вариантов осуществления. В этом примере формат 310 SUPI содержит поле МСС (3 знака) и поле MNC (3 знака), MSIN и селектор UDM (8 бит). Формат 320 SUCI представляет собой зашифрованную форму формата 310 SUPI и, как показано, содержит поле МСС (3 знака) и поле MNC (3 знака), поле селектора UDM, зашифрованный MSIN и параметры для расшифровки зашифрованного MSIN.

В SA3 3GPP было согласовано поддерживать по меньшей мере две эллиптические кривые, кривую А и кривую В интегрированной схемы шифрования эллиптических кривых (ECIES; Elliptic Curve Integrated Encryption Scheme) для шифрования части MSIN SUPI, в то время как зашифрованный идентификатор используется в качестве SUCI. В будущих версиях 3GPP может определять больше или меньше кривых из семейства кривых шифрования на основе эллиптических кривых (ЕСС; Elliptic Curve Cryptography) или может разрешать использование собственных кривых для шифрования MSIN. Однако следует понимать, что, хотя предпочтительным является использование стандартизованных схем, оператор сети также может решить использовать свой собственный специфический способ шифрования. Кроме того, в частности, в фазе перехода оператор сети может конфигурировать устройства для использования только нулевой схемы для SUCI. Нулевая схема реализована таким образом, что она возвращает тот же выходной сигнал как входной сигнал, который применяется как к шифрованию, так и к дешифрованию (т.е. MSIN не зашифрован). Нулевая схема указывается идентификатором схемы в SUCI и, таким образом, может быть равным образом представлена в формате унифицированного идентификатора подписки.

Поскольку скрытый идентификатор подписки SUCI передается между UE (102 в соответствии с фиг. 1) и UDM (часть 108 в соответствии с фиг. 1) в опорной сети, UDM должен быть сконфигурирован так, чтобы иметь возможность распознавать, как UE зашифровало MSIN. Таким образом, способ шифрования должен быть частью формата обмена вместе с самим зашифрованным выходным сигналом, поскольку в процессе аутентификации нет других обменов сообщениями между UE и UDM. Следовательно, необходимо понимать, что схема для представления SUCI должна поддерживать гибкое представление для размещения множества полей, причем каждое поле является достаточно гибким, чтобы поддерживать множество вариантов.

Иллюстративные варианты осуществления решают вышеуказанные и другие проблемы, обеспечивая унифицированную структуру для представления идентификатора подписки. Например, унифицированная структура в одном иллюстративном варианте осуществления может представлять идентификаторы подписки, такие как SUCI, SUPI и IMSI, а также различные варианты, связанные с использованием каждого идентификатора во время аутентификации и других операций.

На фиг. 4 изображен формат (структура данных) 400 унифицированного идентификатора подписки в соответствии с иллюстративным вариантом осуществления. Кроме того, на фиг. 5 изображены представленные в качестве примера длины 500 полей для каждого поля, показанного в формате 400 унифицированного идентификатора подписки, показанном на фиг. 4.

Как показано, формат 400 унифицированного идентификатора подписки содержит следующие поля (с представленными в качестве примера длинами полей в скобках):

поле 402 МСС (24 бита/3 знака);

поле 404 MNC (24 бита/3 знака);

поле 406 параметра выбора UDM (8 бит);

поле 408 включения/выключения шифрования (1 бит);

поле 410 функции формирования ключа (KDF; Key Derivation Function) (3 бита);

поле 412 необязательных параметров KDF (n битов/в зависимости от необязательного параметра);

поле 414 типа идентификатора SUPI/SUCMMSI (2 бита);

поле 416 кривой ECIES, выбранной для шифрования (4 бита);

поле 418 пары эфемерных открытых ключей (256 бит);

поле 420 длины зашифрованного MSIN (4 бита/128, 192, 256, 512 бит/в зависимости от формата MSIN);

поле 422 MSIN или зашифрованного MSIN (длина, указанная в поле 420);

поле 424 кода аутентификации сообщения (MAC (Message Authentication Code) поля MSIN, вычисленного с использованием выбранных кривых ECIES) MSIN (256 бит); и

поле 426 идентификатора алгоритма шифрования (4 бита).

Следует понимать, что длины полей, описанные в настоящем документе, носят иллюстративный характер и, следовательно, не предназначены для ограничения. В зависимости от рабочих сценариев, в которых функционируют UE и сеть 5G, могут быть установлены разные значения длин полей. Также следует понимать, что в альтернативных вариантах осуществления одно или более других полей могут быть добавлены в структуру данных и/или некоторые из вышеприведенных полей могут быть удалены и/или просто не использоваться. Кроме того, размещение полей в формате 400 структуры, показанном на фиг. 4, приводится в качестве примера, и, следовательно, в других вариантах осуществления рассматриваются альтернативные компоновки полей. Исключительно в качестве примера, одно дополнительное поле, которое может быть частью структуры данных (или указываться при выборе UDM или в другом поле), представляет собой поле вспомогательной информации выбора сегмента сети (NSSAI; Network Slice Selection Assistance Information).

Хотя некоторые иллюстративные варианты осуществления обеспечивают отправку посредством UE полной структуры данных унифицированного идентификатора подписки (т.е. 400 на фиг. 4) в данный UDM (или один или более других объектов сети), альтернативные иллюстративные варианты осуществления исключают передачу многих индикаторных параметров, таких как, например, KDF, необязательные параметры KDF, выбранная эллиптическая кривая, идентификатор алгоритма шифрования и т.д., чтобы свести к минимуму накладные расходы на передачу. Таким образом, на фиг. 6 изображена альтернативная иллюстративная структура 600 данных унифицированного идентификатора подписки. Как показано, формат 600 унифицированного идентификатора подписки содержит следующие поля (с представленными в качестве примера длинами полей в скобках):

поле 602 МСС (24 бита/3 знака);

поле 604 MNC (24 бита/3 знака);

поле 606 параметра выбора UDM (8 бит);

поле 608 типа идентификатора SUPI/SUCI/IMSI (2 бита);

поле 610 длины зашифрованного MSIN (4 бита/128, 192, 256, 512 бит/в зависимости от формата MSIN);

поле 612 MSIN или зашифрованного MSIN (длина, указанная в поле 610);

поле 614 кода аутентификации сообщения (MAC (Message Authentication Code) поля MSIN, вычисленного с использованием выбранных кривых ECIES) MSIN (256 бит); и

поле 616 выбора профиля (4 бита).

Следует понимать, что длины полей, описанные в настоящем документе, носят иллюстративный характер и, следовательно, не предназначены для ограничения. В зависимости от рабочих сценариев, в которых функционируют UE и сеть 5G, могут быть установлены разные значения длин полей. Также следует понимать, что в альтернативных вариантах осуществления одно или более других полей могут быть добавлены в структуру данных и/или некоторые из вышеприведенных полей могут быть удалены и/или просто не использоваться. Кроме того, размещение поля в формате 600 структуры в соответствии с фиг. 6 приведено в качестве примера, и, следовательно, в других вариантах осуществления предполагаются альтернативные компоновки полей. Исключительно в качестве примера, одно дополнительное поле, которое может быть частью структуры данных (или указываться при выборе UDM или в другом поле), представляет собой поле вспомогательной информации выбора сегмента сети (NSSAI; Network Slice Selection Assistance Information).

Поля с 602 по 614 предоставляют ту же информацию, что и их эквиваленты с таким же наименованием в структуре 400 данных. Однако структура 600 данных содержит поле 616 выбора профиля. Следует понимать, что может быть полезно заранее установить определенные стандартные профили, которые будут использоваться в формате представления унифицированного идентификатора подписки между UE и UDM. Эти согласованные профили могут быть определены как предварительно установленные значения (только в качестве примера, 4-битная кривая ECIES, выбранная для поля шифрования). В таком случае согласованные значения профилей будут использоваться UE отправителя и UDM, чтобы исключить фактический обмен значениями для этих параметров.

Например, в такой основанной на профиле версии структуры данных унифицированного идентификатора подписки с сокращенными полями UDM будет сконфигурирован таким образом, чтобы знать, что данное поле выбора профиля «0011» (в случае 4 бит) соответствует определенным заданным параметрам для полей формата, показанных на фиг. 4, которые не отправляются в версии с сокращенным полем, показанной на фиг. 6, в то время как поле выбора профиля «1010» будет означать различные заданные параметры и т.д. Таким образом, UDM может предварительно сохранять (или получать в режиме реального времени) структуру данных для каждого возможного профиля, которую UE может отправлять (поскольку UE выполнены с возможностью выбора различных сценариев аутентификации).

Иллюстративные варианты осуществления обеспечивают для всех UE (например, 102 на фиг. 1) и элементов/функций сети, таких как, но не ограничиваясь ими, gNB (104 на фиг. 1), AMF (часть элемента 106 на фиг. 1), SEAF (часть элемента 106 на фиг. 1), AUSF (часть элемента 108 на фиг. 1) и UDM (часть элемента 108 на фиг. 1), поддержку форматов 400 и 600 унифицированного идентификатора подписки, а также альтернативных вариантов.

На фиг. 7 изображена методология 700 использования формата унифицированного идентификатора подписки (например, структуры 400 данных в соответствии с фиг. 4 или структуры 600 данных в соответствии с фиг. 6) с позиции UE, в соответствии с иллюстративным вариантом осуществления.

На этапе 702 UE поддерживает идентификатор постоянной подписки (SUPI) или IMSI.

На этапе 704 UE поддерживает открытый ключ UDM, а также свою собственную пару личных/открытых ключей.

На этапе 706 UE выбирает параметры для шифрования MSIN (алгоритм, кривые и т.д.).

На этапе 708 UE строит структуру данных унифицированного идентификатора подписки (например, 400 в соответствии с фиг. 4) с помощью типа идентификатора, алгоритма шифрования, индикатора кривой, открытого ключа, зашифрованного MSIN, MAC MSIN, МСС, MNC, селектора UDM, KDF, необязательных параметров KDF и т.д.

На этапе 710 UE отправляет структуру данных унифицированного идентификатора подписки в выбранный UDM во время запроса доступа к сети (например, запроса регистрации). В одном варианте осуществления структура данных унифицированного идентификатора подписки может представлять собой структуру 400 данных, показанную на фиг. 4 (т.е. версия с заполнением всех полей), тогда как в альтернативном варианте осуществления структура данных унифицированного идентификатора подписки может представлять собой структуру 600 данных, показанную на фиг. 6 (основанная на профиле версия с сокращенными полями). В дополнительных альтернативных вариантах осуществления могут отправляться другие варианты структуры данных унифицированного идентификатора подписки. Объекты сети (например, UDM) также выполнены с возможностью построения или получения/поддержки иным образом таких структур данных унифицированного идентификатора подписки.

На фиг. 8 изображена методология 800 использования формата унифицированного идентификатора подписки (например, структуры 400 данных, показанной на фиг. 4, или структуры 600 данных, показанной на фиг. 6) с позиции объекта сети (например, одного или более элементов/функций сети, описанных в настоящем документе), в соответствии с иллюстративным вариантом осуществления.

На этапе 802 объект сети принимает структуру данных унифицированного идентификатора подписки.

На этапе 804 объект сети при необходимости расшифровывает структуру данных унифицированного идентификатора подписки.

На этапе 806 элемент сети выполняет аутентификацию UE отправителя на основании сценария аутентификации, соответствующего выбранному типу идентификатора подписки в принятой структуре данных.

Поэтому следует еще раз подчеркнуть, что различные варианты осуществления, описанные в настоящем документе, представлены только в качестве иллюстративных примеров и не должны рассматриваться как ограничивающие объем формулы изобретения. Например, в альтернативных вариантах осуществления могут использоваться другие конфигурации системы связи, конфигурации оборудования пользователя, конфигурации базовых станций, процессы предоставления и использования пар ключей, протоколы обмена сообщениями и форматы сообщений, чем те, которые описаны выше в контексте иллюстративных вариантов осуществления. Эти и многочисленные другие альтернативные варианты осуществления, подпадающие под объем прилагаемой формулы изобретения, будут очевидны специалистам в данной области техники.

1. Оборудование (102, 202) пользователя для системы (100, 200) беспроводной связи, содержащее процессор (212) и запоминающее устройство (216), выполненные с возможностью:

построения структуры данных унифицированного идентификатора подписки на оборудовании (102, 202) пользователя в системе (100, 200) беспроводной связи;

сохранения структуры (400, 600) данных унифицированного идентификатора подписки, при этом структура (400, 600) данных унифицированного идентификатора подписки содержит совокупность полей (402-426, 602-616), которые указывают выбранное одно из двух или более полей (300, 310, 320) идентификатора подписки, связанных с выбранным типом идентификатора подписки; и

применения выбранного одного из двух или более полей (300, 310, 320) идентификатора подписки в структуре (400, 600) данных унифицированного идентификатора подписки для доступа к одной или более сетям, связанным с системой (100, 200) беспроводной связи, на основании сценария аутентификации, соответствующего указанному выбранному типу идентификатора подписки.

2. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность (402-426, 602-616) полей содержит поле (414, 608) типа идентификатора подписки.

3. Оборудование (102, 202) пользователя по п. 2, отличающееся тем, что тип идентификатора подписки является выбираемым из группы, содержащей скрытый идентификатор подписки, SUCI, постоянный идентификатор абонента, SUPI, и международный идентификатор терминала мобильной связи, IMSI.

4. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (406, 606) параметра выбора объекта сети.

5. Оборудование (102, 202) пользователя по п. 4, отличающееся тем, что объект (104, 204) сети выполняет одно или более из функции унифицированного управления данными, UDM, и функции сервера аутентификации, AUSF.

6. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426) содержит поле (408) включения/выключения шифрования.

7. Оборудование (102, 202) пользователя по п. 6, отличающееся тем, что совокупность полей (402-426) содержит поле (426) идентификатора алгоритма шифрования.

8. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426) содержит поле (410) функции вывода ключа.

9. Оборудование (102, 202) пользователя по п. 8, отличающееся тем, что совокупность полей (402-426) содержит поле (412) параметра функции вывода ключа.

10. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (402, 602) кода страны при мобильной связи.

11. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (404, 604) кода сети мобильной связи.

12. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426) содержит поле (416), указывающее кривую, выбранную из схемы интегрированного шифрования с эллиптической кривой.

13. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426) содержит поле (418) пары эфемерных открытых ключей.

14. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (420, 610), указывающее длину зашифрованного поля идентификационного номера терминала мобильной связи, MSIN.

15. Оборудование (102, 202) пользователя по п. 14, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (422, 612) зашифрованного MSIN.

16. Оборудование (102, 202) пользователя по п. 14, отличающееся тем, что совокупность полей (402-426, 602-616) содержит поле (424, 614) кода аутентификации сообщения MSIN.

17. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что система (100, 200) беспроводной связи содержит систему 5G.

18. Оборудование (102, 202) пользователя по п. 1, дополнительно включающее отправку структуры (400, 600) данных унифицированного идентификатора подписки по меньшей мере одному объекту (104, 204) сети в системе (100, 200) беспроводной связи для получения доступа к указанным одной или более сетям, связанным с системой (100, 200) беспроводной связи.

19. Оборудование (102, 202) пользователя по п. 1, отличающееся тем, что совокупность полей (602-616) содержит поле (616) выбора профиля.

20. Оборудование (102, 202) пользователя по п. 19, отличающееся тем, что поле (616) выбора профиля дает возможность оборудованию (102, 202) пользователя уведомлять один или более объектов сети в указанных одной или более сетях, связанных с системой (100, 200) беспроводной связи, для применения предварительно установленных значений для одного или более выбираемых параметров, связанных с выбранным полем (300, 310, 320) идентификатора подписки.

21. Оборудование (102, 202) пользователя по п. 20, дополнительно включающее отправку структуры (600) данных унифицированного идентификатора подписки с полем (616) выбора профиля и сокращенным набором полей по меньшей мере одному из указанных одного или более объектов сети в системе (100, 200) беспроводной связи для получения доступа к указанным одной или более сетям, связанным с системой (100, 200) беспроводной связи.

22. Способ доступа к одной или более сетям, связанным с системой (100, 200) беспроводной связи, включающий:

построение на оборудовании (102, 202) пользователя в системе (100, 200) беспроводной связи структуры (400, 600) данных унифицированного идентификатора подписки;

сохранение структуры (400, 600) данных унифицированного идентификатора подписки, при этом структура (400, 600) данных унифицированного идентификатора подписки содержит совокупность полей (402-426, 602-616), которые указывают выбранное одно из двух или более полей (300, 310, 320) идентификатора подписки, связанных с выбранным типом идентификатора подписки; и

применение выбранного одного из двух или более полей (300, 310, 320) идентификатора подписки в структуре (400, 600) данных унифицированного идентификатора подписки для доступа к одной или более сетям, связанным с системой (100, 200) беспроводной связи, на основании сценария аутентификации, соответствующего указанному выбранному типу идентификатора подписки.

23. Энергонезависимый машиночитаемый носитель данных, в котором реализован исполняемый программный код, который при исполнении процессором (212) заставляет процессор (212):

строить структуру (400, 600) данных унифицированного идентификатора подписки на оборудовании (102, 202) пользователя в системе (100, 200) беспроводной связи;

сохранять структуру (400, 600) данных унифицированного идентификатора подписки, при этом структура (400, 600) данных унифицированного идентификатора подписки содержит совокупность полей (402-426, 602-616), которые указывают выбранное одно из двух или более полей (300, 310, 320) идентификатора подписки, связанных с выбранным типом идентификатора подписки; и

применять выбранное одно из двух или более полей (300, 310, 320) идентификатора подписки в структуре (400, 600) данных унифицированного идентификатора подписки для доступа к одной или более сетям, связанным с системой (100, 200) беспроводной связи, на основании сценария аутентификации, соответствующего указанному выбранному типу идентификатора подписки.